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(57) Abstract: The invention relates to a process automation system wherein process appliances (1 to 6) carry out pre-determined 
functions in terms of the process automation and interchange functional and/or appliance-related data (23, 24) with the process 
automation system, at least one part of the data (23, 24) being interchanged in an encoded manner. 



^ (57) Zusammenfassung: In einem Prozessautomatisierungssystem, in dem Prozessgerate (1 bis 6) vorgegebene Funktionen im Rah- 
^ men der Prozessautomatisierung ausfuhren und dabei mit dem Prozessautomatisierungssystem funktions- und/oder geraterelevante 
^ Daten (23, 24) austauschen, wird zumindest ein Teil der Daten (23, 24) verschlusselt ausgetauscht. 
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Beschreibung 

Prozessautomatisierungssystem und Prozessgerat fur ein 
Prozessautomatisierungssystem 

5 

Die Erfindung betrifft ein Prozessautomatisierungssystem und 
ein Prozessgerat fur ein Prozessautomatisierungssystem. 

In zunehmendem Mafle ergibt sich die Forderung nach einer 

10 t)bertragung von Daten zwischen einem Prozessautomatisierungs- 
system oder Teilen oder Komponenten davon und externen Stel- 
len. Beispiele dafur sind Fernprogrammierung, Fernparametrie- 
rung, Fernwartung oder Ferndiagnose . So ist es aus der 
DE 198 48 618 Al bekannt, zur Fernwartung und/oder Diagnose 

15 von der externen Stelle an das Prozessautomatisierungssystem 
zu tibertragende Daten, z. B. ein Steuerbef ehl, in eine E-Mail 
zu verpacken, diese an das Prozessautomatisierungssystem zu 
adressieren und dorthin abzusenden. Innerhalb des Prozess- 
automatisierungssystems wird die E-Mail von dem Adressaten 

20 empfangen, der den Steuerbefehl durch Decodieren extrahiert 
und an die Anwendung, fur die der Steuerbefehl bestimmt ist, 
weiterleitet . Umgekehrt konnen in gleicher Weise Daten von 
dem Prozessautomatisierungssystem an externe Stellen uber- 
mittelt werden. Spezielle Datenverbindungen zwischen dem Pro- 

25 zessautomatisierungssystem und den externen Stellen sind dazu 
nicht erforderlich, weil standardmaJiige Datenubertragungs- 
systeme (globale und/oder lokale Datennetze, wie z. B. Inter- 
net bzw. Intranet) in Verbindung mit einem elektronischen 
Schutzwall (Firewall) urn das Prozessautomatisierungssystem 

30 verwendet werden konnen, wobei der elektronische Schutzwall 
fttr die E-Mails durchlassig ist (sog. E-Mail-Tunneling) . 

Zur Erhohung der Sicherheit gegen ein unerlaubtes Eindringen 
in den Schutzwall des Prozessautomatisierungssystems konnen 
35 die in der E-Mail verpackten Daten verschltisselt und an- 

schliei3end beim Extrahieren aus der E-Mail wieder entschliis- 
selt werden, bevor sie weitergeleitet werden. Dabei erfolgt 
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die Verschlusselung der an die externe Stelle zu ubermitteln- 
den Daten bzw. die Entschliisselung der von der externen Stel- 
le empfangenen Daten innerhalb des Prozessautomatisierungs- 
systems in einer einzigen Verschliisselungs- bzw. Entschltisse- 
5 lungsvorrichtung. Es ist daher nicht ohne weiteres moglich, 
einen ausgewahlten Teil der Daten, z. B. sicherheitsrelevante 
Daten, verschliisselt und die ilbrigen Daten unverschliisselt 
zwischen dem Prozessautomatisierungssystem und der externen 
Stelle auszutauschen. Statt dessen werden, soweit eine Ver- 
io schliisselung vorgesehen ist, alle uber den elektronischen 

Schutzwall auszutauschenden Daten pauschal verschliisselt, was 
mit einem entsprechenden Aufwand und einer Reduzierung der 
Dateniibertragungsgeschwindigkeit verbunden ist, Ferner ist 
der Austausch der verschlusselten Daten zwischen dem Prozess- 
15 automatisierungssystem und den externen Stellen auf den Weg 
iiber die Verschliisselungs- und Entschliisselungsvorrichtung in 
dem Prozessautomatisierungssystem beschrankt, so dass es 
nicht moglich ist, verschliisselte Daten an unterschiedlichen 
Orten innerhalb des Prozessautomatisierungssystems zu kommu- 
20 nizieren. Schlieiilich sind zu sendende Daten vor ihrer Ver- 
schllisselung und empfangene Daten nach ihrer Entschliisselung 
innerhalb des Prozessautomatisierungssystems manipulierbar . 

Die Verschlusselung vertraulicher Daten vor ihrer Ubertragung 
25 an einen Empf anger ist allgemein bekannt. Bei dem so genann- 
ten offentlichen Verschliisselungsverf ahren verwendet der 
Sender einen offentlichen Schliissel des berechtigten Empfan- 
gers zur Verschlusselung der Daten, so dass nur dieser die 
Daten mit seinem eigenen privaten Schliissel entschliisseln 
30 kann. Die Authentif izierung des Senders kann durch Signieren 
der Daten erfolgen. Dazu verschliisselt der Sender die Daten 
mit seinem eigenen privaten Schliissel; wahrend der Empf anger 
zur Entschliisselung der Daten den offentlichen Schliissel des 
Senders verwendet. Mit offentlichen Schliisseln verschliisselte 
35 Daten sind nicht notwendigerweise authentisch, wahrend mit 
privaten Schliisseln signierte Daten nicht vertraulich sind. 
Zur Herstellung von Vertraulichkeit und Authentizitat konnen 
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daher Verschltisselung und Signierung kombiniert werden, wozu 
der Sender die Daten zunachst mit dem eigenen privaten 
Schliissel und anschliefiend mit dem offentlichen Schliissel des 
Empf angers verschliisselt . Um schliefilich auch noch die In- 
5 tegritat, d. h. die Unverf alschtheit, der ubertragenen Daten 
zu gewahrleisten, kann der Sender aus den Daten einen Pruf- 
code bestimmen, der signiert, d. h. mit dem sendereigenen 
privaten Schliissel verschlusselt, an den Empfanger tibertragen 
wird. Der Empfanger entschllisselt den Prtifcode mit dem 
10 offentlichen Schliissel des Senders und vergleicht den so 
entschlusselten Prtifcode mit dem aus den empfangenen Daten 
berechneten Priifcode; wenn beide Priif codes gleich sind, ist 
die Integritat der Daten gesichert. 

15 Der Erfindung liegt die Aufgabe zugrunde, eine flexible und 
zugleich sichere Handhabung ausgewahlter wichtiger Daten 
eines Prozessautomatisierungssystems zu ermoglichen. 

Gemafi der Erfindung wird die Aufgabe durch das Prozessauto- 
20 matisierungssystem nach Anspruch 1 bzw. das Prozessgerat nach. 
Anspruch 5 gelost. 

Vorteilhafte Weiterbildungen des erf indungsgemafien Prozess- 
automatisierungssystems bzw, Prozessgerats sind in den Unter- 
25 anspruchen angegeben. 

In dem erf indungsgemaflen Prozessautomatisierungssystem fiihren 
Prozessgerate vorgegebene Funktionen im Rahmen der Prozess- 
automatisierung aus und tauschen dabei mit dem Prozessautoma- 
30 tisierungssystem funktions- und/oder geraterelevante Daten 
aus, wobei zumindest ein Teil der Daten verschlusselt aus- 
getauscht wird. 

Das erf indungsgemafle Prozessgerat fUr ein Prozessautomatisie- 
35 rungssystem enthalt eine Funktionseinrichtung zur Ausfiihrung 
vorgegebener Funktionen im Rahmen der Prozessautomatisierung 
und eine mit der Funktionseinrichtung verbundene und an das 
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Prozessautomatisierungssystem anschliefibare Kommunikations- 
einrichtung zum Austausch funktions- und/oder geraterelevan- 
ter Daten rait dem Prozessautomatisierungssystem/ wobei die 
Kommunikationseinrichtung den Austausch zumindest eines Teils 
5 der Daten verschlusselt durchftthrende Mittel aufweist. 

Die Verschlttsselung bzw. Entschlusselung von Daten erfolgt in 
den Prozessgeraten, also den Sendern und Empfangern der 
Daten, wobei die verschlilsselten Daten innerhalb des Prozess- 

10 automatisierungssystems auf dieselbe Weise wie unverschlus- 
selte Daten kommuniziert werden. Unter Prozessgeraten sind 
Feldgerate, Wartengerate und sonstige Endgerate zu verstehen, 
also beispielsweise Messumformer, Aktoren, Antriebe, Analy- 
sengerate, Steuerungen und Regler. So sind z. B. Messumformer 

15 Sender von Messdaten und Empfanger von Parametrierungsdaten, 
die zu ihrer Parametrierung dienen. In dem Umfange, in dem 
diese Daten als sicherungsbediirf tig angesehen werden, werden 
sie liber die Kommunikationseinrichtung des Messumf ormers 
verschlusselt mit dem Prozessautomatisierungssystem ausge- 

20 tauscht; andere, nicht als sicherungsbediirf tig eingestufte 

Daten werden unverschltisselt ausgetauscht . Je nach Verschltis- 
selung sind die verschlusselten Daten gegen Manipulation ge- 
schutzt und/oder konnen nur von einem berechtigten Empfanger 
empfangen werden, wobei zusatzlich der Sender authentif izier- 

25 bar ist. Sender und Empfanger von Daten konnen gleichermaJien 
die Prozessgerate innerhalb des Prozessautomatisierungs- 
systems wie auch externe Stellen sein, die beliebig an das 
Prozessautomatisierungssystem angekoppelt werden konnen. 

30 In der Hardware, durch Programmierung Oder durch ggf . ver- 
schlusselt durchzuftihrende Parametrierung der Prozessgerate 
ist festgelegt, welche Daten als sicherungsbediirf tig gelten 
und verschlusselt auszutauschen sind. So werden sicherungs- 
bedurftige Sendedaten automatisch verschlusselt, bevor sie 

35 abgesandt werden, und empfangene Daten konnen nur nach Ent- 
schliisselung in dem Prozessgerat weiterverarbeitet werden. 
Dabei kann ein Teil der Daten sowohl unverschliisselt als auch 
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parallel dazu verschlusselt ausgetauscht werden. Ein Beispiel 
hierftir sind Messdaten, die sowohl in dem Prozessautomatisie- 
rungssystem im Rahmen der Steuerung und Regelung unverschltis- 
selt weiterverarbeitet werden als auch bei eichpf lichtigen 
5 Applikationen oder far amtliche Uberwachungszwecke verwendet 
und dazu verschlusselt werden. So konnen z. B. eichfahige 
Wagedaten von Industriewaagen verschlusselt an einen externen 
Datenspeicher oder eine Anzeige ausgegeben werden, ohne dass 
der Datentibertragungsweg gekapselt werden muss, und gleich- 

10 zeitig mit den unverschltisselten Wagedaten beispielsweise ein 
Abftillvorgang gesteuert werden. Da hier z. B. die verschlus- 
selten Daten im Wesentlichen fur Registrierungszwecke verwen- 
det werden, kann vorgesehen werden, dass die verschlUsselten 
Daten gegentiber den unverschltisselten Daten nachrangig, d. h. 

15 mit niedrigerer Prioritat, kommuniziert werden, so dass die 
Steuerung und Regelung mit den unverschltisselten Daten nicht 
beeintrachtigt wird. Dabei kann insbesondere vorgesehen wer- 
den, dass verschliisselte Daten zunachst, ggf. mit Zeit- 
stempeln versehen, gesammelt werden, bevor sie zu einem spa- 

20 teren Zeitpunkt beispielsweise in einem Datenpaket gebtindelt 
kommuniziert werden. 

Zur weiteren Erlauterung der Erfindung wird im Folgenden auf 
die Figuren der Zeichnung Bezug genommen; im Einzelnen zeigen 

25 

Figur 1 ein Ausftihrungsbeispiel des erf indungsgemafien 
Prozessaut oma t i s i e r un gs s y s t ems und 

Figur 2 ein Ausftihrungsbeispiel des erf indungsgemaJien 
30 Prozessgerats . 

Figur 1 zeigt in schematischer Darstellung ein Prozessautoma- 
tisierungssystem mit einer Vielzahl von Prozessgeraten, die 1 
vorgegebene Funktionen im Rahmen der Prozessautomatisierung 
35 ausftihren und dabei funktions- und/oder geraterelevante Daten 
mit dem Prozessautomatisierungssystem austauschen. Unter 
Prozessgeraten sind hier Datenendgerate, also Sender und 
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Empf anger von Daten zu verstehen. Insbesondere gehoren dazu 
Feld- und Wartengerate, z. B. Messumf ormer 1 fur Druck, 
Temperatur, Durchfluss, Fiillstand usw., Analysengerate 2 fiir 
Gas- oder Flussigkeitsanalyse, Wagesysteme 3, Stellungsregler 
5 fur Ventile und sonstige dezentrale Regler 4, Stellantriebe 
5, Registrier- und Anzeigegerate 6, Zum Austausch der Daten 
innerhalb des Prozessautomatisierungssystems sind die Pro- 
zessgerate im dezentralen Peripheriebereich zusammen mit de- 
zentraler Steuerung und Regelung 7 und Bedienung und Beobach- 

10 tung 8 tiber Feldbusse 9 oder andere Kommunikationswege mit- 
einander verbunden, wobei unterschiedliche Feldbusse 9 uber 
Buskoppler 10 miteinander verbunden sind. Die Feldbusse 9 
sind wiederum tiber Steuereinrichtungen 11 an einem zentralen 
Anlagenbus 12 angebunden, an dem auch eine zentrale Steuerung 

15 und Regelung 13 und Bedienung und Beobachtung 14 angeschlos- 
sen ist. Der Anlagenbus 12 ist uber eine Koppeleinrichtung 15 
mit einem globalen Kommunikationsnetz 16, z. B. Internet^ 
verbunden, urn einen Datenaustausch mit externen Stellen 17 
beispielsweise zur Fernwartung, -diagnose, -parametrierung, 

20 -tiberwachung usw. des Prozessautomatisierungssystems bzw. 
einzelner Prozessgerate zu ermoglichen. Schlieiilich konnen 
weitere externe Stellen 18, z. B. Programmier-, Diagnose- 
oder Servicegerate an unterschiedlichen Punkten des Prozess- 
automatisierungssystems angekoppelt werden. 

25 

Vorgegebene sicherungsbedlirf tige Daten des Prozessautomati- 
sierungssystems werden verschltisselt ausgetauscht, wobei je 
nach Verschltisselung sichergestellt ist, dass diese Daten auf 
dem Wege von dem Sender zu dem Empfanger oder den Empfangern 

30 gegen Manipulation geschutzt sind und/oder nur von einem be- 
rechtigten Empfanger empfangen werden konnen, wobei zusatz- 
lich der Sender authentif izierbar ist. Die Verschlusselung 
bzw. Entschliisselung erfolgt in den Datenendgeraten, also den 
Sendern bzw. Empfangern, hier den Prozessgeraten bzw. exter- 

35 nen Stellen, wobei die verschliisselten Daten innerhalb des 
Prozessautomatisierungssystems genauso wie unverschliisselte 
Daten Ubertragen werden. 
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Figur 2 zeigt ein Prozessgerat, hier z. B. einen Messumf ormer 
1 mit einer Funktionseinrichtung 19 zur Ausfiihrung der Mess- 
funktion und mit einer mit der Funktionseinrichtung 19 ver- 
bundenen und an das Prozessautomatisierungssystem, hier den 
5 Feldbus 9, anschliefibaren Kommunikationseinrichtung 20 zum 
Austausch funktions- und/oder geraterelevanter Daten mit dem 
Prozessautomatisierungssystem, Die Funktionseinrichtung 19 
umfasst einen Sensor 21 und eine Messwerterf assung und 
-berechnung 22 , die Messdaten, Diagnosedaten und sonstige 

10 gerate- oder f unktionsspezif ische Daten 23 generiert und 

.Befehls-, Parametrier- und sonstige ihr zugefuhrte Daten 24 
verarbeitet. Diese Sendedaten 23 und Empf angsdaten 24 werden 
uber die Kommunikationseinrichtung 20 des Messumf ormers 1 mit 
dem Prozessautomatisierungssystem ausgetauscht • Durch Hard- 

15 wareverschaltung oder Programmierung ist festgelegt, welche 
der Sendedaten 23 in einer Verschltisselungsvorrichtung 25 
verschliisselt werden. Bei Empf angsdaten 24 erkennt die Kommu- 
nikationseinrichtung 20, welche der Daten verschliisselt sind 
und entschlusselt diese in einer Entschllisselungsvorrichtung 

20 26. Die Verschlusselung bzw. Entschliisselung der Daten 23 und 
24 erfolgt hier nach dem offentlichen Verschliisselungsverf ah- 
ren. Dazu enthalt jedes Prozessgerat, hier also der Mess- 
umformer 1, einen eigenen privaten Schliissel sowie einen dazu 
korrespondierenden offentlichen Schlussel, wobei die Schliis- 

25 sel in dem Messumformer 1 hinterlegt oder von diesem selbst 
generiert werden. Im Unterschied zu dem unzuganglich abge- 
speicherten privaten Schliissel wird der offentliche Schliissel 
bei der Einbindung des Messumformers 1 in das Prozessautoma- 
tisierungssystem, z. B. bei der Inbetriebnahme, einer zen- 

30 tralen Schliisselverwaltung 27 (Figur 1) mitgeteilt, fiir die 
ein separates Gerat vorgesehen sein kann oder die in einem 
bereits vorhandenen Gerat, z. B. einer speicherprogrammier- 
baren Steuerung, des Prozessautomatisierungssystems imple- 
mentiert ist. Externe Stellen 18, die mit Prozessgeraten 

35 Daten austauschen wollen, melden sich zuvor automatisch bei 
der Schliisselverwaltung 27 an und hinterlegen dort nach 
ttberpriifung ihrer Identitat ihren jeweiligen offentlichen 
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Schltissel. Die zentrale Schltisselverwaltung 27 gewahrleistet 
die Authentizitat der verwalteten of f entlichen Schltissel, 
indem diese jeweils mit dem privaten Schltissel der Schltissel- 
verwaltung 27 signiert werden, so dass mit Hilfe des offent- 
5 lichen Schltissels der Schltisselverwaltung 27 jederzeit die 
Authentizitat der offentlichen Schltissel geprtift werden kann. 

1st z. B. vorgesehen, dass die Einstellung eines bestimmten 
Parameters in einem Prozessgerat, z. B. 4, nur durch eine 

10 autorisierte externe Stelle 18 moglich sein soil, so wird der 
an das Prozessgerat 4 zu tibertragende Einstellwert in der 
externen Stelle 18 derart verschltisselt, dass die Integritat 
des Einstellwerts beim Empfang durch das Prozessgerat 4 
sichergestellt ist und dass ferner das Prozessgerat 4 die 

15 Identitat der externen Stelle 18 und damit deren Berechtigung 
zur Parametereinstellung feststellen kann. 

Es kann vorgesehen sein, dass ein und dieselben Daten, hier 
z. B. die Messdaten des Messumf ormers 1, an bestimmte Empfan- 

20 ger, z. B. ein eichpf lichtiges Registrier- oder Anzeigegerat, 
verschltisselt und an andere Empf anger, z. B. die Messdaten 
weiterverarbeitende Regler, unverschltisselt tibertragen wer- 
den. In der Regel werden nur diejenigen Daten verschltisselt 
tibertragen, die sicherungsbedtirf tig sind; alle tibrigen Daten, 

25 insbesondere die zur Prozesssteuerung und -regelung dienenden 
Daten, werden tiberwiegend unverschltisselt tibertragen. Um die 
Prozesssteuerung und -regelung nicht zu beeintrachtigen, 
werden die unverschltisselten Daten mit hoherer Prioritat als 
die verschltisselten Daten kommuniziert, wozu die verschltis- 

30 selten bzw. zu verschltisselnden Daten zunachst in einem Spei- 
cher 28 des Prozessgerats 1 gesammelt werden konnen. 

Die hier beschriebene Datenverschltisselung ermoglicht also 
insbesondere eine f alschungssichere Fernparametrierung von 
35 Prozessgeraten oder einen autorisierten Service von beliebi- 
gen Stellen aus, eine sichere anttliche Oberwachung von Mess- 
werten oder Prozesszustanden, eine falschungssichere Obertra- 
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gung von sicherheitsrelevanten und/oder vertraulichen Daten, 
Diagnosedaten oder Anlagenparametern, wie z. B. Rezepturen, 
die tfbertragung von eichfahigen Daten ohne das Erfordernis 
einer Kapselung der Ubertragungswege, uvm. 
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Patentanspriiche 

1. Prozessautomatisierungssystem, in dem ProzessgerSte (1 bis 
6) vorgegebene Funktionen im Rahmen der Prozessautomatisie- 
5 rung ausfuhren und dabei mit dem Prozessautomatisierungs- 
system funktions- und/oder geraterelevante Daten (23, 24) 
austauschen, wobei zumindest ein Teil der Daten (23, 24) ver- 
schliisselt ausgetauscht wird. 

10 2. Prozessautomatisierungssystem nach Anspruch 1, dadurch 
gekennzeichnet , dass zumindest ein Teil der Daten (23, 
24) verschliisselt und parallel dazu unverschliisselt ausge- 
tauscht wird. 

15 3. Prozessautomatisierungssystem nach Anspruch 1 Oder 2, 
dadurch gekennzeichnet, dass verschlusselte Daten 
gegenuber unverschlusselten Daten nachrangig ausgetauscht 
werden. 

20 4. Prozessautomatisierungssystem nach Anspruch 3, dadurch 
gekennzeichnet, dass verschlusselte Daten zunachst in 
einem Speicher (28) des Prozessgerats (1) gesammelt und da- 
nach ausgetauscht werden. 

25 5. Prozessgerat (1) fiir ein Prozessautomatisierungssystem mit 
einer Funktionseinrichtung (19) zur AusfUhrung vorgegebener 
Funktionen im Rahmen der Prozessautomatisierung und mit einer 
mit der Funktionseinrichtung (19) verbundenen und an das Pro- 
zessautomatisierungssystem anschliefibaren Kommunikations- 

30 einrichtung (20) zum Austausch funktions- und/oder gerate- 
relevanter Daten (23, 24) mit dem Prozessautomatisierungs- 
system, wobei die Kommunikationseinrichtung (20) den Aus- 
tausch zumindest eines Teils der Daten (23, 24) verschliisselt 
durchfUhrende Mittel (25, 26) aufweist. 



35 
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FIG. 2 



